3-2 · Chapitre 3 · 7 min de lecture

Ce qui est réellement envoyé dans vos environnements (et pourquoi c'est important)

Découvrez pourquoi l'artefact de build doit être identique dans tous les environnements. Apprenez à éviter les incidents de production grâce aux artefacts immuables.

Ce qui est réellement envoyé dans vos environnements (et pourquoi c'est important)

Imaginez la scène : votre équipe vient de terminer un sprint. Tout le monde est fatigué, mais la release doit sortir ce soir. Un développeur compile l'application sur son poste, la teste localement, puis pousse l'artefact en staging. Les tests en staging passent. La confiance est à son maximum.

Puis quelqu'un dit : "Laissez-moi recompiler pour la production, juste pour être sûr. Je vais inclure le dernier correctif de configuration."

Le build de production est différent de celui du staging. Un timestamp différent. Une compilation différente. Peut-être qu'une version légèrement différente d'une bibliothèque a été récupérée.

La production tombe une heure plus tard. Vous avez maintenant une question à laquelle vous ne pouvez pas répondre : le bug est-il dans le code qui était différent, ou dans la configuration de l'environnement ? Vous avez perdu la capacité d'en être certain.

C'est le problème que résolvent les artefacts immuables. Mais avant d'en arriver là, parlons de ce qu'est réellement un artefact.

Le code source n'est pas ce qui s'exécute sur les serveurs

Quand les développeurs écrivent du code, ils produisent du code source. Ce code source est une matière première. C'est du texte lisible par un humain qui doit être transformé avant qu'un serveur puisse l'exécuter.

Ce processus de transformation s'appelle un build. Et le résultat d'un build s'appelle un artefact.

À quoi ressemble un artefact ? Cela dépend de ce que vous construisez :

Une application Java produit un fichier .jar ou .war.
Une application Python produit un fichier wheel ou un dossier structuré.
Une application Node.js produit un dossier dist avec des fichiers minifiés.
Une application Go produit un seul binaire exécutable.

Dans tous les cas, l'artefact est un ensemble de fichiers prêts à être placés sur un serveur et exécutés. Pas de compilation nécessaire. Pas de résolution de dépendances. Il suffit de l'exécuter.

Le pipeline de build produit l'artefact

Dans la livraison logicielle moderne, le processus de build s'exécute automatiquement. Un développeur pousse du code vers un dépôt. Un pipeline CI se déclenche. Il compile le code, exécute les tests et produit un artefact. Cet artefact est ensuite envoyé aux environnements — d'abord le staging, puis la production, et tout ce qui se trouve entre les deux.

Voici une comparaison visuelle de l'approche correcte par rapport à l'anti-pattern risqué :

flowchart TD A["Code source"] --> B["Build"] B --> C["Artefact"] C --> D["Registre d'artefacts"] D --> E["Staging"] E --> F["Production"] B -.-> G["Recompilation pour Staging"] G -.-> H["Artefact A"] H -.-> I["Staging"] B -.-> J["Recompilation pour Production"] J -.-> K["Artefact B"] K -.-> L["Production"] style A fill:#e6f3ff,stroke:#333 style B fill:#e6f3ff,stroke:#333 style C fill:#d4edda,stroke:#333 style D fill:#d4edda,stroke:#333 style E fill:#d4edda,stroke:#333 style F fill:#d4edda,stroke:#333 style G fill:#f8d7da,stroke:#333 style H fill:#f8d7da,stroke:#333 style I fill:#f8d7da,stroke:#333 style J fill:#f8d7da,stroke:#333 style K fill:#f8d7da,stroke:#333 style L fill:#f8d7da,stroke:#333

C'est là que la plupart des équipes ont un choix. Et la plupart des équipes font le mauvais choix sans s'en rendre compte.

Le problème de la recompilation pour chaque environnement

Voici un schéma courant : compiler pour le staging, tester, puis recompiler pour la production. La logique semble raisonnable — "nous voulons nous assurer que la production reçoive le build le plus frais."

Mais ce schéma crée un risque caché. Chaque build est légèrement différent. Le compilateur peut produire une sortie différente. Les dépendances peuvent être résolues avec des versions légèrement différentes. Le timestamp du build change. Même l'ordre d'écriture des fichiers peut différer.

Quand la production échoue, vous avez deux variables : l'artefact et l'environnement. Vous ne pouvez pas dire lequel a causé le problème. Était-ce le changement de code, ou quelque chose dans l'environnement de production que le staging n'avait pas ?

Vous avez perdu la certitude. Et la certitude est la chose la plus précieuse que vous puissiez avoir lors d'un incident.

Les artefacts immuables restaurent la certitude

Un artefact immuable est un artefact qui ne change jamais après sa construction. Une fois que le build l'a produit, cet artefact est figé. Pas de modifications. Pas de recompilations. Pas d'éditions manuelles.

Le même artefact — même hash, même taille, mêmes fichiers — va dans tous les environnements qui exécutent cette version.

Cela vous donne une garantie puissante : si l'artefact a passé les tests en staging, il se comportera de la même manière en production, en supposant que les environnements sont configurés de manière similaire. Si la production échoue, vous savez que le problème ne vient pas de l'artefact. Il vient de la configuration, des données ou de l'environnement lui-même.

Voici un moyen rapide de vérifier que le même artefact est déployé partout :

# Sur la machine de build après la fin du build
sha256sum myapp-v1.2.3.jar
# Sortie : a1b2c3d4e5f6...  myapp-v1.2.3.jar

# Sur le serveur de staging après le déploiement
sha256sum /opt/myapp/myapp-v1.2.3.jar
# Sortie : a1b2c3d4e5f6...  /opt/myapp/myapp-v1.2.3.jar

# Sur le serveur de production après le déploiement
sha256sum /opt/myapp/myapp-v1.2.3.jar
# Sortie : a1b2c3d4e5f6...  /opt/myapp/myapp-v1.2.3.jar

Si les sommes de contrôle correspondent, vous avez déployé exactement le même artefact partout.

Vous avez éliminé une variable. Cela rend le débogage plus rapide et plus sûr.

Les artefacts immuables simplifient le rollback

Avec des artefacts immuables, le rollback devient trivial. Si la nouvelle version casse quelque chose, vous n'avez pas besoin de recompiler l'ancienne version. Vous n'avez pas besoin de trouver le bon commit et de relancer le pipeline. Vous déployez simplement l'artefact qui existe déjà.

Cet artefact a été construit il y a des semaines ou des mois. Il a été testé. Il a déjà fonctionné en production. Vous savez exactement ce qu'il fait. Vous le récupérez du stockage et vous le déployez.

Sans artefacts immuables, le rollback signifie recompiler l'ancien code. Cette recompilation pourrait produire un artefact différent de celui qui a été exécuté à l'origine. Vous déployez quelque chose qui n'a jamais été testé dans sa forme actuelle. C'est un pari.

Où stocker les artefacts ?

Les artefacts ont besoin d'un emplacement de stockage central, sécurisé et fiable. C'est ce qu'on appelle un référentiel d'artefacts. Les options courantes incluent :

Nexus ou Artifactory pour le stockage d'artefacts généralistes
Docker Registry pour les images conteneur
Buckets S3 ou Azure Blob Storage pour les fichiers d'artefacts bruts
Registres de paquets comme npm, PyPI ou Maven Central

Chaque artefact doit être stocké avec des métadonnées : numéro de version, hash de commit, timestamp du build et toutes les étiquettes pertinentes. Ces métadonnées permettent de tracer n'importe quel artefact jusqu'à son code source et son pipeline de build.

Le référentiel d'artefacts devient la source unique de vérité pour ce qui s'exécute où. Quand quelqu'un demande "quelle version est en production en ce moment ?", vous regardez l'artefact, pas le serveur.

Ce qui est envoyé aux environnements

Après la fin du build, l'artefact est la seule chose qui est envoyée aux environnements. Pas le code source. Pas une version recompilée. Pas un fichier modifié manuellement.

Un seul artefact pour tous les environnements. Cohérent, traçable et immuable.

Ce principe s'applique que vous déployiez un microservice Java, un pipeline de données Python, un frontend Node.js ou un outil CLI Go. Le format d'empaquetage change, mais l'idée reste la même : construire une fois, déployer partout.

Une checklist rapide pour votre équipe

Si vous mettez en place ou révisez votre stratégie d'artefacts, voici quelques points à vérifier :

Chaque build produit un artefact versionné avec un identifiant unique (hash de commit, numéro de build ou version sémantique)
Le même artefact est promu à travers tous les environnements sans recompilation
Les artefacts sont stockés dans un référentiel central, pas sur les postes des développeurs ou les serveurs de build
Les anciens artefacts sont conservés au moins pendant la durée de votre fenêtre de rollback
Les métadonnées (hash de commit, timestamp du build, raison du déclenchement) sont attachées à chaque artefact

Ce qu'il faut retenir

La prochaine fois que votre équipe prépare une release, posez une question : l'artefact qui s'exécute en staging est-il exactement le même fichier qui s'exécutera en production ? Si la réponse est non, vous introduisez un risque que vous ne pouvez pas mesurer. Corrigez cela d'abord, avant de vous soucier de quoi que ce soit d'autre.

Construisez une fois. Déployez le même artefact partout. Gardez-le immuable. Cette seule pratique éliminera plus d'incidents de production que la plupart des outils de monitoring.